तीन साल के विकास के बाद स्क्वीड 5.1 प्रॉक्सी सर्वर के नए स्थिर संस्करण का विमोचन जारी किया गया है जो उत्पादन प्रणालियों पर उपयोग के लिए तैयार है (संस्करण 5.0.x बीटा थे)।
5.x शाखा को स्थिर करने के बाद, अब से, केवल कमजोरियों और स्थिरता के मुद्दों के लिए सुधार किए जाएंगे, और मामूली अनुकूलन की भी अनुमति होगी। नए कार्यों का विकास नई प्रायोगिक शाखा 6.0 में किया जाएगा। पुरानी 4.x स्थिर शाखा के उपयोगकर्ताओं को 5.x शाखा में स्थानांतरण की योजना बनाने के लिए प्रोत्साहित किया जाता है।
स्क्वीड 5.1 मुख्य नई विशेषताएं
इस नए संस्करण में बर्कले डीबी प्रारूप समर्थन लाइसेंसिंग मुद्दों के कारण बहिष्कृत कर दिया गया है. बर्कले डीबी 5.x शाखा को कई वर्षों से प्रबंधित नहीं किया गया है और इसमें अप्रकाशित कमजोरियां हैं, और नए संस्करणों में अपग्रेड करने से एजीपीएलवी 3 लाइसेंस को बदलने की अनुमति नहीं है, जिसकी आवश्यकताएं पुस्तकालय के रूप में बर्कलेडीबी का उपयोग करने वाले अनुप्रयोगों पर भी लागू होती हैं। - स्क्विड GPLv2 लाइसेंस के तहत जारी किया गया है और AGPL GPLv2 के साथ असंगत है।
बर्कले डीबी के बजाय, ट्रिविअल डीबी डीबीएमएस का उपयोग करने के लिए परियोजना को आगे बढ़ाया गया था, जो, बर्कले डीबी के विपरीत, डेटाबेस के समानांतर समानांतर पहुंच के लिए अनुकूलित है। बर्कले डीबी समर्थन अभी के लिए बनाए रखा गया है, लेकिन अब "ext_session_acl" और "ext_time_quota_acl" ड्राइवरों में "libdb" के बजाय "libtdb" स्टोरेज प्रकार का उपयोग करने की अनुशंसा की जाती है।
इसके अलावा, HTTP सीडीएन-लूप हेडर के लिए समर्थन जोड़ा गया था, जिसे आरएफसी 8586 में परिभाषित किया गया है, जो सामग्री वितरण नेटवर्क का उपयोग करते समय लूप का पता लगाने की अनुमति देता है (हेडर उन स्थितियों से सुरक्षा प्रदान करता है जिनमें किसी कारण से सीडीएन के बीच पुनर्निर्देशन के दौरान अनुरोध वापस आता है। मूल सीडीएन के लिए, एक अनंत लूप बनाते हुए)।
इसके अलावा, एसएसएल-बम्प तंत्र, जो एन्क्रिप्टेड HTTPS सत्रों की सामग्री को इंटरसेप्ट करने की अनुमति देता है, hअन्य सर्वरों के माध्यम से नकली HTTPS अनुरोधों को पुनर्निर्देशित करने के लिए एक अतिरिक्त समर्थन HTTP कनेक्ट विधि के आधार पर एक नियमित सुरंग का उपयोग करके cache_peer में निर्दिष्ट प्रॉक्सी (HTTPS पर स्ट्रीमिंग समर्थित नहीं है क्योंकि स्क्विड अभी तक TLS के भीतर TLS को स्ट्रीम नहीं कर सकता है)।
SSL-Bump, पहले इंटरसेप्ट किए गए HTTPS अनुरोध के आने पर, TLS कनेक्शन स्थापित करने की अनुमति देता है गंतव्य सर्वर के साथ और उसका प्रमाणपत्र प्राप्त करें। बाद में, विद्रूप प्राप्त वास्तविक प्रमाणपत्र के होस्टनाम का उपयोग करता है सर्वर से और एक नकली प्रमाणपत्र बनाएँ, जिसके साथ यह क्लाइंट के साथ बातचीत करते समय अनुरोधित सर्वर की नकल करता है, डेटा प्राप्त करने के लिए गंतव्य सर्वर के साथ स्थापित टीएलएस कनेक्शन का उपयोग जारी रखते हुए।
यह भी बताया गया है कि प्रोटोकॉल का कार्यान्वयन आईसीएपी (इंटरनेट सामग्री अनुकूलन प्रोटोकॉल), जिसका उपयोग बाहरी सामग्री सत्यापन प्रणालियों के साथ एकीकरण के लिए किया जाता है, डेटा अनुलग्नक तंत्र के लिए समर्थन जोड़ा गया है जो आपको संदेश के बाद रखे गए उत्तर में अतिरिक्त मेटाडेटा शीर्षलेख संलग्न करने की अनुमति देता है। तन।
"dns_v4_first ." को ध्यान में रखने के बजाय»IPv4 या IPv6 पता परिवार के उपयोग का क्रम निर्धारित करने के लिए, अब DNS में प्रतिक्रिया के क्रम को ध्यान में रखा जाता है- यदि किसी IP पते के समाधान की प्रतीक्षा करते समय DNS से AAAA प्रतिक्रिया पहले दिखाई देती है, तो परिणामी IPv6 पते का उपयोग किया जाएगा। इसलिए, पसंदीदा पता परिवार सेटिंग अब फ़ायरवॉल, DNS, या स्टार्टअप पर "-disable-ipv6" विकल्प के साथ की जाती है।
प्रस्तावित परिवर्तन टीसीपी कनेक्शन को कॉन्फ़िगर करने के लिए समय को तेज करेगा और डीएनएस रिज़ॉल्यूशन में देरी के प्रदर्शन प्रभाव को कम करेगा।
अनुरोधों को पुनर्निर्देशित करते समय, "हैप्पी आईबॉल्स" एल्गोरिथम का उपयोग किया जाता है, जो सभी संभावित रूप से उपलब्ध गंतव्य IPv4 और IPv6 पतों के समाधान की प्रतीक्षा किए बिना, तुरंत प्राप्त IP पते का उपयोग करता है।
"external_acl" निर्देश में उपयोग के लिए, "ext_kerberos_sid_group_acl" ड्राइवर को प्रमाणीकरण के लिए सक्रिय निर्देशिका में सत्यापन समूहों के साथ Kerberos का उपयोग करके जोड़ा गया है। OpenLDAP पैकेज द्वारा प्रदान की गई ldapsearch सुविधा का उपयोग समूह के नाम को क्वेरी करने के लिए किया जाता है।
अलग-अलग पैकेट या क्लाइंट टीसीपी कनेक्शन के लिए नेटफिल्टर (CONNMARK) टैग को बाइंड करने के लिए मार्क_क्लाइंट_कनेक्शन और मार्क_क्लाइंट_पैक निर्देश जोड़े गए।
अंत में यह उल्लेख किया गया है कि स्क्विड 5.2 और स्क्विड 4.17 के जारी संस्करणों के चरणों का पालन करते हुए कमजोरियां तय की गईं:
- CVE-2021-28116 - विशेष रूप से तैयार किए गए WCCPv2 संदेशों को संसाधित करते समय सूचना रिसाव। भेद्यता एक हमलावर को ज्ञात WCCP राउटर की सूची को दूषित करने और प्रॉक्सी क्लाइंट से उसके होस्ट पर ट्रैफ़िक को पुनर्निर्देशित करने की अनुमति देती है। समस्या केवल WCCPv2 समर्थन सक्षम कॉन्फ़िगरेशन में प्रकट होती है और जब राउटर के आईपी पते को खराब करना संभव होता है।
- CVE-2021-41611: TLS प्रमाणपत्रों को सत्यापित करते समय त्रुटि जो अविश्वसनीय प्रमाणपत्रों का उपयोग करने की अनुमति देती है।
अंत में, यदि आप इसके बारे में अधिक जानना चाहते हैं, तो आप विवरण देख सकते हैं निम्नलिखित लिंक में